Jump to content

Падает тоннель


Recommended Posts

Keenetic Ultra II 

После недавнего обновления прошивки на 2.09.C.0.0-1 (если я ничего не пропустил то стояла предыдущая)
Стал постоянно рваться IPsec тоннель. Настройки ни на той стороне (DrayTek Vigor 2925) ни на моей не менял. 

Вот что в журнале:

Цитата

 

IpSec::Configurator: crypto map "Test" is up.

Aug 24 18:54:37ndmIpSec::Configurator: reconnection for crypto map "Test" was cancelled.

Aug 24 18:54:37ndmIpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 1.

Aug 24 18:54:37ipsec14[CFG] received stroke: initiate 'Test' 

Aug 24 18:54:37ndmIpSec::Configurator: crypto map "Test" initialized.

Aug 24 18:54:37ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...

Aug 24 18:54:37ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.

Aug 24 18:54:38ndmkernel: EIP93: build inbound ESP connection, (SPI=c61fd67a)

Aug 24 18:54:41ndmkernel: EIP93: build outbound ESP connection, (SPI=5d7d63bf)

Aug 24 18:54:45ipsec13[IKE] sending retransmit 1 of request message ID 1406107308, seq 1 

Aug 24 18:54:54ipsec06[IKE] sending retransmit 2 of request message ID 1406107308, seq 1 

Aug 24 18:55:04ipsec13[IKE] sending retransmit 3 of request message ID 1406107308, seq 1 

Aug 24 18:55:14ipsec16[IKE] sending retransmit 4 of request message ID 1406107308, seq 1 

Aug 24 18:55:26ipsec08[IKE] sending retransmit 5 of request message ID 1406107308, seq 1 

Aug 24 18:55:39ipsec05[IKE] sending retransmit 6 of request message ID 1406107308, seq 1 

Aug 24 18:55:53ipsec16[IKE] sending retransmit 7 of request message ID 1406107308, seq 1 

Aug 24 18:56:09ipsec08[IKE] sending retransmit 8 of request message ID 1406107308, seq 1 

Aug 24 18:56:26ipsec15[IKE] giving up after 8 retransmits 

Aug 24 18:56:26ndmIpSec::Configurator: remote peer of crypto map "Test" is down.

Aug 24 18:56:26ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.

Aug 24 18:56:26ndmIpSec::Configurator: fallback peer is not defined for crypto map "Test", retry.

Aug 24 18:56:26ndmIpSec::Configurator: schedule reconnect for crypto map "Test".

Aug 24 18:56:26ipsec15[IKE] sending DPD vendor ID 

Aug 24 18:56:26ipsec15[IKE] sending FRAGMENTATION vendor ID 

Aug 24 18:56:26ipsec15[IKE] sending NAT-T (RFC 3947) vendor ID 

Aug 24 18:56:26ipsec15[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 

Aug 24 18:56:26ipsec15[IKE] initiating Main Mode IKE_SA Test[103] to Удаленный IP

Aug 24 18:56:26ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.

Aug 24 18:56:26ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.

Aug 24 18:56:26ndmkernel: EIP93: release SPI c61fd67a

Aug 24 18:56:26ndmkernel: EIP93: release SPI 5d7d63bf

Aug 24 18:56:26ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...

Aug 24 18:56:27ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.

Aug 24 18:56:34ipsec16[IKE] sending retransmit 1 of request message ID 0, seq 1 

Aug 24 18:56:42ndmIpSec::Configurator: reconnecting crypto map "Test".

Aug 24 18:56:43ipsec14[IKE] sending retransmit 2 of request message ID 0, seq 1 

Aug 24 18:56:44ndmIpSec::Configurator: crypto map "Test" shutdown started.

Aug 24 18:56:44ipsec09[CFG] received stroke: unroute 'Test' 

Aug 24 18:56:44ipsec12[CFG] received stroke: terminate 'Test{*}' 

Aug 24 18:56:44ipsec12[CFG] no CHILD_SA named 'Test' found 

Aug 24 18:56:44ipsec06[CFG] received stroke: terminate 'Test


Aug 24 18:56:44ipsec16[IKE] destroying IKE_SA in state CONNECTING without notification 
Aug 24 18:56:44ndmIpSec::Configurator: crypto map "Test" shutdown complete.
Aug 24 18:56:44ndmIpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Aug 24 18:56:45ipsec05[CFG] received stroke: initiate 'Test' 
Aug 24 18:56:45ndmIpSec::Configurator: crypto map "Test" initialized.
Aug 24 18:56:45ipsec07[IKE] sending DPD vendor ID 
Aug 24 18:56:45ipsec07[IKE] sending FRAGMENTATION vendor ID 
Aug 24 18:56:45ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Aug 24 18:56:45ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Aug 24 18:56:45ipsec07[IKE] initiating Main Mode IKE_SA Test[104] to Удаленный IP 
Aug 24 18:56:53ipsec16[IKE] sending retransmit 1 of request message ID 0, seq 1 
Aug 24 18:57:02ipsec14[IKE] sending retransmit 2 of request message ID 0, seq 1 
Aug 24 18:57:12ipsec16[IKE] sending retransmit 3 of request message ID 0, seq 1 
Aug 24 18:57:16ipsec07[IKE] received DPD vendor ID 
Aug 24 18:57:16ipsec07[IKE] received NAT-T (RFC 3947) vendor ID 
Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
Aug 24 18:57:16ipsec07[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
Aug 24 18:57:16ipsec07[IKE] Удаленный IP is initiating a Main Mode IKE_SA 
Aug 24 18:57:16ipsec07[CFG] received proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# 
Aug 24 18:57:16ipsec07[CFG] configured proposals: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# 
Aug 24 18:57:16ipsec07[CFG] selected proposal: IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/# 
Aug 24 18:57:16ipsec07[IKE] sending DPD vendor ID 
Aug 24 18:57:16ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Aug 24 18:57:16ipsec14[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
Aug 24 18:57:16ipsec15[CFG] looking for pre-shared key peer configs matching Мой IP...Удаленный IP[Удаленный IP] 
Aug 24 18:57:16ipsec15[CFG] selected peer config "Test" 
Aug 24 18:57:16ipsec15[IKE] IKE_SA Test[105] established between Мой IP[Мой IP]...Удаленный IP[Удаленный IP] 
Aug 24 18:57:16ipsec15[IKE] scheduling reauthentication in 86370s 
Aug 24 18:57:16ipsec15[IKE] maximum IKE_SA lifetime 86390s 
Aug 24 18:57:16ndmIpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 0.
Aug 24 18:57:16ipsec08[CFG] received proposals: ESP:3DES_CBC/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ 
Aug 24 18:57:16ipsec08[CFG] configured proposals: ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ 
Aug 24 18:57:16ipsec08[CFG] selected proposal: ESP:3DES_CBC/HMAC_MD5_96/#/#/NO_EXT_SEQ 
Aug 24 18:57:16ipsec08[IKE] received 0 lifebytes, configured 21474836480 
Aug 24 18:57:16ipsec12[IKE] CHILD_SA Test{74} established with SPIs c0d0a843_i 5d7d63c1_o and TS 192.168.140.0/24 === 192.168.6.0/24 
Aug 24 18:57:16ndmIpSec::Configurator: crypto map "Test" is up.
Aug 24 18:57:16ndmIpSec::Configurator: reconnection for crypto map "Test" was cancelled.
Aug 24 18:57:16ndmIpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 1.
Aug 24 18:57:16ndmIpSec::IpSecNetfilter: start reloading netfilter configuration...
Aug 24 18:57:16ndmIpSec::IpSecNetfilter: netfilter configuration reloading is done.
Aug 24 18:57:18ndmkernel: EIP93: build outbound ESP connection, (SPI=5d7d63c1)
Aug 24 18:57:18ndmkernel: EIP93: build inbound ESP connection, (SPI=c0d0a843)
Aug 24 18:57:22ipsec07[IKE] sending retransmit 4 of request message ID 0, seq 1 
Aug 24 18:57:34ipsec16[IKE] sending retransmit 5 of request message ID 0, seq 1

 

 



И так по кругу. Время жизни тоннеля минуты 3 примерно.
Постоянно идет вот это:

Цитата

Aug 24 18:54:45ipsec13[IKE] sending retransmit 1 of request message ID 1406107308, seq 1 
Aug 24 18:54:54ipsec06[IKE] sending retransmit 2 of request message ID 1406107308, seq 1 
Aug 24 18:55:04ipsec13[IKE] sending retransmit 3 of request message ID 1406107308, seq 1 
Aug 24 18:55:14ipsec16[IKE] sending retransmit 4 of request message ID 1406107308, seq 1 
Aug 24 18:55:26ipsec08[IKE] sending retransmit 5 of request message ID 1406107308, seq 1 
Aug 24 18:55:39ipsec05[IKE] sending retransmit 6 of request message ID 1406107308, seq 1 
Aug 24 18:55:53ipsec16[IKE] sending retransmit 7 of request message ID 1406107308, seq 1 
Aug 24 18:56:09ipsec08[IKE] sending retransmit 8 of request message ID 1406107308, seq 1 
Aug 24 18:56:26ipsec15[IKE] giving up after 8 retransmits 
Aug 24 18:56:26ndmIpSec::Configurator: remote peer of crypto map "Test" is down.

При этом все работает, ну естественно до Configurator: remote peer of crypto map "Test" is down

 

На втором тоннеле ничего такого нет. Он просто поднимается и больше ничего в логах не пишет.


В журнале поменял только название тоннеля на "Test" и IP адреса на Удаленный IP и Мой IP соответственно на той стороне и мой.

Никак не могу решить проблему. У меня всего два тоннеля (второй с DrayTek Vigor 2960 в другом месте. С ним вроде все нормально.), вот один начал рваться после прошивки, до этого долго время все было стабильно. Но то что после новой прошивки это явно, потому что сразу же я это заметил.

Edited by Alex R
  • Upvote 1
Link to comment
Share on other sites

7 часов назад, Alex R сказал:

Вот это извините не понял :)

self-test скинул.

Поставьте 2.10 и обновитесь до последней прошивки из draft ( https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/ ), и проверьте на ней. На ней же и self-test нужно снимать.

Не дошел, давайте заново )

Link to comment
Share on other sites

Да уж :) судя по тому что там написано, как то боязно это ставить, нехватало чтобы еще и второй тоннель закосячил, он еще более важный :)

 

Ну да ладно. 

Я правильно понял, что надо прошить через веб морду эту прошивку http://files.keenopt.ru/firmware/Keenetic_Ultra_II/2017-07-25/

И потом она уже автоматом обновится через обновление еще?

Link to comment
Share on other sites

Только что, Alex R сказал:

Да уж :) судя по тому что там написано, как то боязно это ставить, нехватало чтобы еще и второй тоннель закосячил, он еще более важный :)

 

Ну да ладно. 

Я правильно понял, что надо прошить через веб морду эту прошивку http://files.keenopt.ru/firmware/Keenetic_Ultra_II/2017-07-25/

И потом она уже автоматом обновится через обновление еще?

Да, именно так.

Link to comment
Share on other sites

Все время после поднятия тоннеля идет вот это:

ending retransmit 3 of request message ID 0, seq 3 
Aug 25 19:06:29ipsec12[IKE] sending retransmit 3 of request message ID 0, seq 3 
Aug 25 19:06:39ipsec12[IKE] sending retransmit 4 of request message ID 0, seq 3 
Aug 25 19:06:40ipsec06[IKE] sending retransmit 4 of request message ID 0, seq 3 
Aug 25 19:06:51ipsec12[IKE] sending retransmit 5 of request message ID 0, seq 3 
Aug 25 19:06:51ipsec06[IKE] sending retransmit 5 of request message ID 0, seq 3 
Aug 25 19:07:04ipsec12[IKE] sending retransmit 6 of request message ID 0, seq 3 
Aug 25 19:07:04ipsec06[IKE] sending retransmit 6 of request message ID 0, seq 3 
Aug 25 19:07:18ipsec06[IKE] sending retransmit 7 of request message ID 0, seq 3 
Aug 25 19:07:19ipsec05[IKE] sending retransmit 7 of request message ID 0, seq 3 
Aug 25 19:07:34ipsec06[IKE] sending retransmit 8 of request message ID 0, seq 3

 

раньше такого не было...

Link to comment
Share on other sites

В общем по факту. Пингами смотрел

Оба тоннеля держатся около двух минут, восстановление происходит от 2 до 20 секунд, когда как, не одновременно оба, а немного в разное время.

В общем беда конечно, так невозможно работать (

Link to comment
Share on other sites

Вернулся на 2.09.C.0.0-1 да как и было один тоннель валиться перестал.

Вот как мне вернуться на мою предыдущую, на которой оба работали. Да вообще вроде не было проблем на всех предыдущих на сколько я помню, ну по крайней мере таких, чтобы постоянно валилось.

Если к примеру от сюда https://help.keenetic.net/hc/ru/articles/214496025-Файлы-загрузки-для-Keenetic-Ultra-II 

взять 2.08 то там изначально компонент IPsec отключен а просто так я понимаю без обновления его не включить, а обновляет он сразу на последнюю..

Link to comment
Share on other sites

Новая информация, в общем оба тоннеля не работают нормально, постоянно связь пропадает даже на том который якобы работает, да он работает но когда работаешь по rdp например, все время прерывается соединение периодически на несколько секунд.

А для телефонии это вообще беда, можно сказать что и не работает....

А если отключить один тоннель вообще, то второй уже по другому начинает себя вести и в логах уже появляется то что с двумя поднятыми нету... бред какой то...

В общем подскажите, как вернуться на предыдущую прошивку? :)

Edited by Alex R
Link to comment
Share on other sites

2 часа назад, Alex R сказал:

В общем подскажите, как вернуться на предыдущую прошивку?

Скорее всего никак.Надо было сохранять ее для себя.

Link to comment
Share on other sites

10 минут назад, Alex R сказал:

А как сохранять? 

Через веб морду в сист файлах если firmware сохранять он мне вообще сохраняет pdf с картинкой.

Переходите на #tools.files, нажима на  firmware

Цитата

59a13ae159c68__013.png.759f7535d66b9b37533c96807a02ffd7.png

Потом выскакивает окно, нажимаете сохранить и все(начинается загрузка)

Цитата

59a13b61d312d__014.png.724bb1172176ea15d6c915ef101300d5.png

 

Edited by AndreBA
Link to comment
Share on other sites

Эмм :)

ну а я что написал?

При таком сохранении сохраняется pdf файл со скриншотом этой странички.

По крайней мере сейчас, раньше не пробовал.

 

Впрочем теперь то уже не важно, все равно прошивка другая...

Edited by Alex R
Link to comment
Share on other sites

Всеж таки интересно, чтож такого нашаманили в IPsec, что такая нестабильность полезла...

У меня два тоннеля все время висело, было все нормально, я часами работал по rdp, radmin, телефония, часами иногда на талефоне висел, ничего не рвалось, тут бы сразу заметно было. (

Link to comment
Share on other sites

Новая информация.

Переключил на драйтеке Call Direction: с Dial-out на Both. При изначальной настройке еще давно на другой прошивке Ultra II с этой настройкой не работало, завелось только на Dial-out

Еще поменял с 3des md5 на AES-SHA1 но с Dial-out все равно падало, то есть дело не в шифровании, но оставил AES-SHA1

В общем пока вроде работает без падений и в логах ультры пропали вот эти вот постоянные ipsec12[IKE] sending retransmit 3 of request message ID 0, seq 3 

Будем смотреть...

Edited by Alex R
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...